Изначально в нашей среде домена Windows все пользователи домена по умолчанию являются локальными администраторами своей рабочей станции. После некоторых размышлений было решено, что пользователи домена должны быть удалены из группы локальных администраторов по соображениям безопасности. Для этого они настроили в GPO удаление всех пользователей из группы локальных администраторов, за исключением администратора (встроенного), DOMAIN \ Administrator и администраторов домена.
После того, как они удалили пользователей домена из группы локальных администраторов, пользователи начали сталкиваться с проблемами разрешения при запуске определенного приложения, в результате чего приложение не имеет определенных прав на чтение файлов конфигурации в C :.
Во время устранения неполадок один из системных администраторов предоставил пользователям домена полные права на C: (% SystemDrive%). Права настраивались в Computer Configuration > Windows Settings > Security Settings > File Systems где Пользователи домена получили полный доступ к% SystemDrive%. Не было уверенности, что эта политика помогла в решении проблемы, и никто не сделал замечание или описание этого. Его оставили как есть.
Сегодня, примерно через 2 года, другой системный администратор заметил этот конкретный параметр политики при просмотре политики группового домена. Системный администратор решил, что предоставление прав пользователя домена% SystemDrive% очень рискованно с точки зрения безопасности, и удалил запись о разрешении пользователя домена из этой политики. Вот здесь и началась проблема.
После удаления записи «Пользователь домена» в настройке разрешений% SystemDrive% в одном из наших приложений возникла проблема с записью файлов в системные каталоги, отличные от Windows (например, C: \ tmp или C: \ msclog). На этом этапе довольно очевидно, что после удаления пользователя домена из этого параметра политики приложение не имеет прав на запись каких-либо файлов в системные каталоги, отличные от Windows. Мы опасаемся, что это может в дальнейшем распространяться в системные каталоги Windows (например, C: \ Windows, C: \ Program Files и т. Д.) И приведет к другим проблемам в будущем. В то же время мы не можем добавить / предоставить пользователям домена полное разрешение на C :.
Таким образом, можем ли мы восстановить права доступа к файлам / папкам Windows до их исходных настроек с помощью GPO?
Здесь вам нужно сделать несколько вещей:
Во-первых, как только вы применили безопасность, измененную с помощью GP, пути назад уже не будет. Удаление политики не приведет к удалению изменений. Для всего системного диска существует масса различных наборов разрешений, так что вы можете отказаться от того, чтобы когда-либо вернуть их на склад. Лучше всего переосмыслить своих клиентов.
Во-вторых, вам необходимо проверить, что ваши приложения работают как обычные пользователи, прежде чем внедрять подобные изменения. Я работал над той же самой проблемой на моей последней работе: все пользователи имели права локального администратора, и я свел их к обычным правам пользователя. Это заноза в заднице, да. Вы должны попробовать каждое приложение и посмотреть, какие из них не работают, и да, будет много плохо написанных и требующих административного доступа для правильной работы. Для них вы можете использовать такую программу, как Process Monitor, бесплатную утилиту от Microsoft, чтобы увидеть, какие файлы они пытаются получить доступ и заблокированы. Узнав об этом, вы можете использовать групповую политику для выборочного предоставления доступа к этим файлам. Я бы создал группы домена для каждого приложения, предоставил бы этой группе разрешения файловой системы, а затем добавил бы ваших пользователей в эти группы, чтобы упростить управление.